——財政部會計司解讀《企業內部把握應用指引第18號——信息系統》一、信息系統內部把握概述18號———信息系統》中所指信息系統，是指企業利用計算機和通信技術，對內部把握進展集成、轉化和提升所形成的信息化治理平臺。信息系統內部把握的目標是促進企業有效實施內部把握，提高企業現代化治理水平，削減人為操縱因素；同時，增加信息系統的安全性、牢靠性和合理性以及相關信息的保密性、完整性和可用性，為建立有效的信息與溝通機制供給支持保障。信息系統內部把握的主要對象是信息系統，由計算機硬件、軟件、人員、信息流和運行規程等要素組成。現代企業的運營越來越依靠于信息系統。比方航空公司的網上訂票系統、銀行的資金實時結算系統、攜程旅行網的客戶效勞系統等，沒有信息系統的支撐，業務開展就舉步維艱、難以為繼，企業經營就很可能陷入癱瘓狀態。還有一些興產業和興企業，其商〔、各種電子商務公司〔比方阿里巴巴、卓越公司〕，沒有信息系統，這些企業可能失去生存之基。同時應當看到，企業信息系統內部把握以及利用信息系統實施內部把握也面臨諸多風險，至少應當關注以下方面：一是信息系統缺乏或規劃不合理，可能造成信息孤島或重復建設，導致企業經營可能導致無法利用信息技術實施有效把握；三是系統運行維護和安全措施不到位，可能導致信息泄漏或毀損，系統無法正常運行。重要的作用，加之信息系統本身的簡潔性和高風險特征，《企業內18號——信息系統》規定，企業負責人對信息系“一把手”工程。只有企業負責人站在戰略和全局的高度親自組織領導信息系統建設工作，才能統一思想、提高生疏、加強協調協作，從而推動信息系統建設在整合資源的前提下高效、協調推動。企業應當重視信息系統在內部把握中的作用，依據內部把握要求，結合組織架構、業務范圍、地域分布、技術力氣等因素，制定信息系統建設總體規劃，加大投入力度，有序組織信息系統開發、運行與維護，優化治理流程，防范經營風險，全面提升企業現代化治理水平。二、信息系統的開發企業依據進展戰略和業務需要進展信息系統建設，首先要確立系統建設目標，依據目標進展系統建設戰略規劃，再將規劃細化為工程建設方案。企業開展信息系統建設，可以依據實際狀況，實行自行開發、外購調試或業務外包等方式。選擇外購調試或業務外包方式的，應當承受公開招標等形式擇優選擇供給商或開發單位。選擇自行開發信息系統的，信息系統歸口治理部門應當組織企業內部安裝調試、驗收、上線等全過程的治理要求。企業信息系統歸口管理部門應當加強信息系統開發全過程的跟蹤治理，增進開發單位與企業內部業務部門的日常溝通和協調，組織獨立于開發單位的專業機構對開發完成的信息系統進展檢查驗收，并組織系統上線運行。〔一〕制定信息系統開發的戰略規劃信息系統開發的戰略規劃是信息化建設的起點，戰略規劃是以制定信息系統戰略規劃的主要風險是：第一，缺乏戰略規劃或規劃不合理，可能造成信息孤島或重復建設，導致企業經營治理效率低下。其次，沒有將信息化與企業業務需求結合，降低了信息系統的應用價值。信息孤島現象是不少企業信息系統建設中存在的普遍問題，根源在于這些企業往往無視戰略規劃的重要性，缺乏整體觀念和整合意識，常常陷于頭痛醫頭，腳痛醫腳，這就導致有的企業財務治理信息系統、銷售治理信息系統、生產治理信息系統、人力資源治理系統、辦公自動化系統等各自為政、孤立存在的現象，減弱了信息系統的協同效用，甚至引發系統沖突。主要把握措施：第一，企業必需制定信息系統開發的戰略規劃相互脫節。〔二〕選擇適當的信息系統開發方式信息系統的開發建設是信息系統生命周期中技術難度最大的環預警指標、核算方法等固化到信息系統中，因此開發建設的好壞直接影響信息系統的成敗。理選擇。自行開發偏重于自行開發。外購調試外購調式的根本做法是企業購置成熟的商品化軟件，通過參數配置和二次開發滿足企業需求。其優點是開發建設周期短；成功率較高；成熟的商品化軟件質量穩定，牢靠性高；專業的軟件供給商實施閱歷豐富。其缺點是難以滿足企業的特別需求；系統的后期升級進度受制于商品化軟件供給商產品更換代的速度，企業自主權不強，較為被動。外購調試方式的適用條件通常是企業的特別需求較少，市場上已有成熟的商品化軟件和系統實施方案。比方大局部企業的財務治理系統、ERP系統、人力資源治理系統等多承受外購調試方式。業務外包益原則考慮不情愿維持浩大的開發隊伍。〔三〕自行開發方式的關鍵把握點和主要把握措施系統設計、編程和測試、上線等環節。工程打算環節戰略規劃通常將完整的信息系統分成假設干子系統，并分階段建設不同的子系統。比方，制造企業可以將信息系統劃分為財務治理MRP系統〔銷售、選購、庫存、生產〕、計算機關心設計和制造系統、客戶關系系統、電子商務系統等假設干子系統。工程就是指本階段需要建設的相對獨立的一個或多個子系統。工程打算通常包括工程范圍說明、工程進度打算、工程質量計需求變更把握、配置治理打算等內容。工程打算不是完全靜止、一確定工程主要內容和重大事項，然后依據工程的大小和性質以及項目進展狀況進展調整、充實和完善。工程打算環節的主要風險是：信息系統建設缺乏工程打算或者打算不當，導致工程進度滯后、費用超支、質量低下。主要把握措施：第一，企業應當依據信息系統建設整體規劃提出分階段工程的建設方案，明確建設目標、人員配備、職責分工、經費保障和進度安排等相關內容，依據規定的權限和程序審批后實施。其次，企業可以承受標準的工程治理軟件〔比方OfficeProject〕制定工程打算，并加以跟蹤。在關鍵環節進展階段性評審，以保證過程可控。第三，工程關鍵環節編制的文檔應參照《GB8567－88計算機軟件產品開發文件編制指南》等相關國家標準和行業標準進展，以提高工程打算編制水平。需求分析環節失、表述不全都甚至表述錯誤等問題。主要把握措施：第一，信息系統歸口治理部門應當組織企業內部各有關部門提出開發需求，加強系統分析人員和有關部門的治理編制表述清楚、表達準確的需求文檔。需求文檔是業務人員和技術人員共同理解信息系統的橋梁，必需準確表述系統建設的目標、功能和要求。企業應當承受標準建模語言(UML)，綜合運用多種建模工具和表現手段，參照《GB8567－88應當建立健全需求評審和需求變更把握流程。依據需求文檔進行設計〔含需求變更設計〕前，應當評審其可行性，由需求提出人和編制人簽字確認，并經業務部門與信息系統歸口治理部門負責人審批。系統設計環節系統設計是依據階段所確定的目標系統規律模型，設計出一個能在企業特定的計算機和網絡環境中實現的方案，即建立信息系統的物理模型。系統設計包括總體設計和具體設計。總體設計的主要任務是：第一，設計系統的模塊構造，合理劃分子系統邊的影響，導致系統運行后衍生的風險。主要把握措施：第一，系統設計負責部門應當就總體設計方案與業務部門進展溝通和爭論，說明方案對用戶需求的掩蓋狀況；存在備選方案的，應當具體說明各方案在本錢、建設時間和用戶需求響應上的差異；信息系統歸口治理部門和業務部門應當對選定的設計方案予以書面確認。其次，企業應參照《GB8567－88計算機軟件產品開發文件編制指南》等相關國家標準和行業標準，提高系統設計說明書的編寫質量。第三，企業應建立設計評審制度和設計變更把握流程。第四，在系統設計時應當充分考慮信息系統建成后的把握環境，將生產經營治理業務流程、關鍵把握點和處理規程嵌入系統程序，實現手工環境下難以實現的把握功能，例如：對于某一財，要通過信息系統中的權限治理功能把握用戶的操作權限，避免將不相容職務的處理權限授予同一用戶。第六，應當針對不同的數據輸入方式，強化對進入系統數據的檢查和校驗功能。比方，憑證的自動平衡校對。第七，系統設計時應當考慮在信息系統中設置操八，預留必要的后臺操作通道，對于必需的后臺操作，應當加強作的可監控性。編程和測試環節編程階段是將具體設計方案轉換成某種計算機編程語言的過地位。消滅嚴峻問題。主要把握措施：第一，工程組應建立并執行嚴格的代碼復查評審制度。其次，工程組應建立并執行統一的編程標準，在標識符命〔例如CVS〕，保證全部開發人員基于一樣的組件環境開展工程工作，〔集成測試〕、系統測試、驗收測試等不同測試類型，建立嚴格的測試工作流程，提高最終用戶在測試工作中的參與程度，改進測試用例能、把握要求和安全性等方面符合開發需求。上線環節系統上線是將開發出的系統〔可執行的程序和關聯的數據〕部署到實際運行的計算機環境中，使信息系統依據既定的用戶需求來運轉，切實發揮信息系統的作用。這一環節的主要風險是：第一，缺乏完整可行的上線打算，導致系統上線混亂無序。其次，人員培訓缺乏，不能正確使用系統，導致業務處理錯誤，或者未能充分利導致舊系統數據不全都、業務處理錯誤。門應當參與數據遷移過程，對遷移前后的數據予以書面確認。〔四〕其他開發方式的關鍵把握點和主要把握措施〔業務外包、外購調試〕的關鍵把握點和主要把握措施。要實行有針對性的把握措施。業務外包方式的關鍵把握點和主要把握措施選擇外包效勞商這一環節的主要風險是：由于企業與外包效勞商之間本質上是一種托付—代理關系,合作雙方的信息不對稱簡潔誘發道德風險，外包效勞商可能會實施損害企業利益的自利行為,如偷工減料、放松治理、信息泄密等。主要把握措施：第一，企業在選擇外包效勞商時要充分考慮效勞商的市場信譽、資質條件、財務狀況、效勞力氣、對本企業業務的生疏程度、既往承包效勞成功案例等因素,對外包效勞商進展嚴格篩選。其次，企業可以借助外包業界基準來推斷外包效勞商的綜合實力。第三，企業要嚴格外包效勞審批及管控流程,對信息系統外包業務，原則上應承受公開招標等形式選擇外包效勞商，并實行集體決策審批。簽訂外包合同導致企業的正值權益無法得到有效保障。主要把握措施：第一，企業在與外包效勞商簽約之前,應針對外包可能消滅的各種風險損失,恰當擬定合同條款,對涉及的工作目標、合作范疇、責任劃分、全部權歸屬、付款方式、違約賠償及合約期限等問題做出具體說明,并由法律部門或法律參謀審查把關。其次，開發過程中涉及商業隱秘、敏感數據的，企業應當與外包效勞商簽保密協定”，以保證數據安全。第三，在合同中商定付款事宜時,應中選擇分期付款方式，尾款應當在系統運行一段時間并經評估驗收后再支付。第四，應在合同條款中明確要求外包效勞商保持專業技術效勞團隊的穩定性。持續跟蹤評價外包效勞商的效勞過程開發需求。定期對外包效勞商進展考評,并公布效勞周期的評估結果,實現外包包效勞風險。外購調試方式的關鍵把握點和主要把握措施化某些把握措施。軟件產品選型和供給商選擇障。主要把握措施：第一，企業應明確自身需求，比照分析市場上的成熟軟件產品，合理選擇軟件產品的模塊組合和版本。其次，企業在軟件產品選型時應廣泛聽取行業專家的意見。第三，企業在選還要考察其效勞支持力氣和后續產品的升級力氣。效勞供給商選擇大型企業治理信息系統〔例如ERP系統〕的外購實施，不僅需要選擇適宜的軟件供給商和軟件產品，也需要選擇適宜的詢問公司等效勞供給商，指導企業將通用軟件產品與本企業的實際狀況有機結合。這一環節的主要風險是：效勞供給商選擇不當，減弱了外購軟件產品的功能發揮，導致無法有效滿足用戶需求。主要把握措施：在選擇效勞供給商時，不僅要考核其對軟件產品的生疏、理解程度，也要考核其是否深刻理解企業所處行業的特三、信息系統的運行與維護系統變更和安全治理。〔一〕日常運行維護的關鍵把握點和主要把握措施從而造成重大損失。要時應會同系統開發人員或軟硬件供給商共同解決。〔二〕系統變更的關鍵把握點和主要把握措施其次，系統變更后的效果達不到預期目標。主要把握措施：第一，企業應當建立標準流程來實施和記錄系統變更，保證變更過程得到適當的授權與治理層的批準，并對變更進展測試。信息系統變更應當嚴格遵照治理流程進展操作。信息系轉變軟件版本；不得擅自轉變軟件系統的環境配置。其次，系統變更程序(如軟件升級)需要遵循與系統開發工程同樣的驗證和測試，包括系統訪問授權把握、數據轉換把握、用戶培訓等。〔三〕安全治理的關鍵把握點和主要把握措施安全治理的目標是保障信息系統安全，信息系統安全是指信息系統包含的全部硬件、軟件和數據受到保護，不因偶然和惡意的原因而遭到破壞、更改和泄漏，信息系統能夠連續正常運行。這一環安全治理難度大，可能導致設備生命周期短。其次，業務部門信息安全意識薄弱，對系統和信息安全缺乏有效的監管手段。少數員工可能惡意或非惡意濫用系統資源，造成系統運行效率降低。第三，對系統程序的缺陷或漏洞安全防護不夠，導致患病黑客攻擊，造成信息泄露。第四，對各種計算機病毒防范清理不力，導致系統運行不穩定甚至癱瘓。第五，缺乏對信息系統操作人員的嚴密監控，可能導致舞弊和利用計算機犯罪。主要把握措施是：〔例如銀行的核心數據庫效勞器〕，未經授權，不得接觸。泄密責任追究制度。制定信息系統安全實施細則。依據業務性質、重要程度、涉密狀況等確定信息系統的安全等級，建立不同等級信息的授權使用制度，承受相應技術手段保證信息系統運行安全有序。對于信息系統的使用者和不同安全等級信息之間的授權關系，應在系統開發建設階段就形成方案并加以設計，在軟件系統中預留這種對應關系的設置功能，以便依據使用者崗位職務的變遷進展調整。IT技術手段，對硬件配置調整、軟件參數修改嚴加把握。例如，企業可利用操作系統、數據庫系統、應用系統供給的安全機制，設置安全參數，保證系統訪問安全；對于重要的計算機設備，企業應當利用技術手段防止員工擅自安裝、卸載軟件或者轉變軟件系統配置，并定期對上述狀況進展檢查。合同和保密協議。技術手段確保信息傳遞的保密性、準確性、完整性。帶、